Mostrando mensaje 46     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 997 - Año 7 - Lunes 31 de marzo de 2003 Fecha: Lunes, 31 de Marzo, 2003  12:23:03 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 997 - Año 7 - Lunes 31 de marzo de 2003 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Festejamos los 1000 regalando cinco licencias de Nod32 2 - En la mente de un creador de virus 3 - VBS/Asnar. Genera cien mil archivos en varias carpeta 4 - Troj/Sennaspy.gen. Generador de troyanos 5 - eMule vulnerable a un ataque de negación de servicio _____________________________________________________________ 1 - Festejamos los 1000 regalando cinco licencias de Nod32 _____________________________________________________________ http://www.vsantivirus.com/sorteo-1000.htm Festejamos los 1000 regalando cinco licencias de Nod32 Cómo habrán notado, nos acercamos al número 1000 de este boletín diario, lo que no es poco decir. Más allá de lo que ello significa para todos los que de una forma u otra estamos involucrados en este proyecto, se nos ocurrió festejar regalando a nuestros fieles lectores cinco licencias de un excelente antivirus, Nod32. Por supuesto, ello gracias a Ontinet.com, S.L., distribuidor exclusivo en España del mismo. Nod32 es hoy día, el antivirus más rápido y eficiente del mercado, habiendo ganado 21 premios consecutivos de Virus Bulletin 100%, la prestigiosa publicación internacional de la industria antivirus, entre otros 21 productos analizados, por su nivel de detección y limpieza total con un 100% de eficiencia. Por algo Microsoft lo utiliza en varios equipos internos de trabajo, incluyendo el grupo de Servicio de Lanzamiento de Productos, donde es necesario analizar terabytes de datos y código propietario antes de su liberación pública. NOD32 posee la capacidad de examinar más de cinco millones de KB por segundo, siendo este resultado, más del doble de velocidad que el mejor producto que le sigue en cualquier comparativa realizada y teniendo además, una exclusiva y avanzada tecnología heurística que provee un excepcional rendimiento en cientos de miles de lugares de trabajo. Las cinco licencias de este producto, serán sorteadas dentro del próximo mes, como forma de corresponder a nuestros fieles lectores por habernos permitido llegar a este próximo número 1000. A todos, simplemente gracias... Jose Luis Lopez VSAntivirus.com (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - En la mente de un creador de virus _____________________________________________________________ http://www.vsantivirus.com/agr-escritores-virus.htm En la mente de un creador de virus Por Alejandro Germán Rodríguez (*) Peligros_en_la_red-owner@onelist.com Cuando se toca el tema de los virus de computadora, se tratan las características técnicas de los mismos, cuán rápido se expandieron y si desarrollan alguna nueva técnica o explotan alguna vulnerabilidad conocida, pero rara vez, se escribe sobre los creadores de estos códigos maliciosos. Un reciente estudio, ha echado luz sobre la personalidad de los creadores de virus, aprovechando entre otras cosas, la notoriedad que éstos han obtenido, ya sea por las conferencias de prensa que dan, los juicios que enfrentan o las listas de correo y foros específicos. Según este estudio, un creador de virus, es: * Un joven entre 14 y 34 años. * Varón. * Obsesionado con las computadoras. * Con dificultades para adaptarse socialmente. * Carencia crónica de novia y compañía femenina. Estos individuos están constantemente buscando nuevas formas de lograr su cometido (infectar máquinas) y hasta mantienen contactos a nivel mundial creando mutaciones mejoradas de un virus dado. Para ellos, la creación de un virus es una forma sofisticada de graffiti, prueba de ello, son los mensajes que se encuentran dentro del código vírico. De acuerdo a Jan Hruska, ejecutivo jefe de la empresa antivirus Sophos, se crean 1.000 virus mensualmente, y todas las previsiones hacen suponer que esta tendencia irá en aumento. La perspectiva de que la creación de virus aumente, se potencia por hechos tales como: * La liberación de programas, sistemas operativos y funciones nuevas, sin las debidas pruebas de robustez por cuestiones comerciales por parte de las compañías de software (P. Ej.: Microsoft, Oracle). * La gran publicidad que reciben las infecciones, que casi dan la impresión de una competencia de récords, al estilo Guinness, en lo referente a cantidad de equipos afectados, velocidad de las infecciones, etc. * La sensación de seguridad y anonimato que la red produce. * La sensación de jugar al gato y al ratón con las compañías de software antivirus. * La publicidad irresponsable que se le da a algunas fallas, antes que existan parches específicos. * La disponibilidad del código fuente de algunos virus para crear rápida y simplemente algunas variantes. * La actitud irresponsable de los administradores al permitir que sus sistemas permanezcan sin protección. * El desarrollo de kits de creación de virus, permitiendo así, que casi cualquiera, sin conocimiento alguno pueda sentirse un creador de virus. * Suspender el soporte de programas, confiables y robustos, con muchos parches en su haber y ampliamente conocidos por sus administradores en favor de sistemas nuevos, (P. Ej.: Windows NT a favor de Windows 2000). * La falta de leyes a nivel global que permitan perseguir y castigar a los creadores de virus. A largo plazo no considero que el tema virus sea solucionable, sino existe voluntad por parte de los agentes que intervienen en el desarrollo de programas comerciales, gobiernos e investigadores independientes. Hasta que ellos no establezcan una acción global coordinada, al igual que en la naturaleza, los virus nos acompañaran por largo tiempo. Fuente: http://edition.cnn.com/2003/TECH/internet/03/19/virus.writers.reut/index.html (*) Alejandro Germán Rodriguez mantiene la lista de seguridad "Peligros en la Red", y es un asiduo colaborador de VSAntivirus. http://es.egroups.com/group/Peligros_en_la_red ICQ # 44796626 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - VBS/Asnar. Genera cien mil archivos en varias carpeta _____________________________________________________________ http://www.vsantivirus.com/asnar.htm Nombre: VBS/Asnar Tipo: Caballo de Troya de Visual Basic Script Alias: Asnar Fecha: 18/mar/03 Tamaño: 2,331 bytes Plataforma: Windows 32-bit Este troyano no se propaga por si mismo, pero puede distribuirse manualmente en forma premeditada, vía correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. Cuando se ejecuta, crea una cantidad enorme de archivos (100,000) en diferentes carpetas. Primero se copia a si mismo en la carpeta de Windows: c:\windows\sysops.vbs Luego, crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema: HKLM\Software\Microsoft\Windows\CurrentVersion\run MSrundll32 = sysops.vbs También cambia el nombre del usuario registrado de Windows: HKLM\Software\Microsoft\Windows\CurrentVersion RegisteredOwner = DumbaSS Después crea cien mil archivos de texto en las siguientes carpetas: c:\ c:\windows\system32\ c:\windows\ c:\program files\kazaa lite\my shared folder\ También intenta copiarse mil veces en cualquier disquete insertado en la unidad A. En todos los casos los nombres de los archivos están compuestos de la siguiente forma: 1.txt 2.txt 3.txt [etc.] 1000000.txt Todos los archivos contienen el siguiente texto: Have fun searching and deleting all of these bogus files. They are in more than just this folder. You've been owned Traducción: "Diviértase buscando y borrando todos estos archivos falsos. Están en más carpetas que solo en esta. Lo han poseído". Debido a limitaciones propias del sistema operativo, los archivos en los directorios raíz no llegan a la cantidad establecida, pero su presencia causa dificultades en el funcionamiento correcto de Windows. Aunque se sugieren a continuación formas de eliminar el troyano de un sistema infectado, el borrado de tal cantidad de archivos puede ser dificultoso. Recuerde vaciar la papelera de reciclaje, preferentemente luego del borrado de los archivos .TXT mencionados en cada una de las carpetas mencionadas. * Reparación manual * Antivirus 1. Actualice sus antivirus con las últimas definiciones 2. Ejecútelos en modo escaneo, revisando todos sus discos 3. Borre los archivos detectados como infectados * Borrado manual de los archivos creados por el gusano Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\sysops.vbs c:\[número].txt (Ej.: c:\1.txt, c:\2.txt, etc.,) c:\windows\system32\[número].txt c:\windows\[número].txt c:\program files\kazaa lite\my shared folder\[número].txt Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". Borre también los mensajes electrónicos similares al descripto antes. * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run 3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada: MSrundll32 4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER 5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion 6. Pinche en la carpeta "CurrentVersion" y en el panel de la derecha, bajo la columna "Nombre", busque la siguiente entrada y borre el contenido (Dumbass). Luego ingrese su nombre o el que corresponda al usuario registrado: RegisteredOwner 7. Use "Registro", "Salir" para salir del editor y confirmar los cambios. 8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar). * Información adicional * Windows Scripting Host y Script Defender Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo: Algunas recomendaciones sobre los virus escritos en VBS http://www.vsantivirus.com/faq-vbs.htm Si no desea deshabilitar el WSH, recomendamos instalar Script Defender, utilidad que nos protege de la ejecución de archivos con extensiones .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS y .SHB, con lo cuál, la mayoría de los virus y gusanos escritos en Visual Basic Script por ejemplo, ya no nos sorprenderán. Utilidades: Script Defender, nos protege de los scripts http://www.vsantivirus.com/script-defender.htm * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú "Ver" (Windows 95/98/NT) o el menú "Herramientas" (Windows Me/2000/XP), y pinche en "Opciones" u "Opciones de carpetas". 3. Seleccione la lengüeta "Ver". 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo "Archivos ocultos", MARQUE "Mostrar todos los archivos". En Windows Me/2000/XP, en "Archivos y carpetas ocultos", MARQUE "Mostrar todos los archivos y carpetas ocultos" y DESMARQUE "Ocultar archivos protegidos del sistema operativo". 6. Pinche en "Aplicar" y en "Aceptar". * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 4 - Troj/Sennaspy.gen. Generador de troyanos _____________________________________________________________ http://www.vsantivirus.com/sennaspy.htm Nombre: Troj/Sennaspy.gen Tipo: Caballo de Troya Alias: Senna Spy Trojan Generator 3.1 Fecha: 30/mar/03 Plataforma: Windows 32-bit Fuente: Per Antivirus Senna Spy Trojan Generator 3.1 es un software generador de troyanos. Posee varios componentes, siendo el servidor el que pone en riesgo la seguridad de la computadora atacada. El troyano suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribución más usados son el correo electrónico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros. Este archivo puede tener varios tamaños dependiendo de las opciones que el atacante le haya habilitado al crearlo con la herramienta mencionada. También puede tener cualquier nombre. Si se ejecuta, la computadora de la víctima queda vulnerable a cualquiera de las siguientes acciones controladas en forma remota por el atacante, utilizando el componente cliente de la herramienta. - Puede eliminar antivirus, cortafuegos y sistemas de control. - Obtiene información del sistema, direcciones de correo, contraseñas, etc. - Ejecuta y controla en forma remota cualquier archivo, programa, o proceso. - Encripta la información. - Genera claves en el registro en forma aleatoria. - Permite el libre acceso en Líneas Privadas. - Descarga o extrae archivos en los sistemas atacados. - Utiliza su propio servidor de correo SMTP para enviar mensajes. - Puede suspender o apagar la computadora. - Captura la salida del teclado del usuario. - Puede deshabilitar el teclado o el ratón. - Puede acceder a canales de Chat. - Envía la información capturada al atacante vía IRC. - Desconecta el acceso a Internet. - Cambia la configuración del monitor (resolución y colores). - Oculta o activa la barra de tareas. - Deshabilita o activa el portapapeles. - Ejecuta archivos con extensión .AVI y .WAV - Manipula periféricos como CD-ROM, DVD, impresoras, ratón, etc. - Puede borrar archivos y formatear el disco duro. De acuerdo a lo configurado por el atacante, el troyano puede seleccionar el puerto de conexión a Internet, los valores a modificar en el registro o en archivos como WIN.INI para autoejecutarse en cada reinicio de la computadora infectada, así como las formas de ingresar al sistema, como correo electrónico, IRC, ICQ, redes P2P, Telnet, etc. Puede generar un falso mensaje de error (configurable) al ejecutarse para engañar al usuario sobre su verdadera acción, notificarse al atacante vía IRC, etc. * Reparación manual Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema. ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus). Más información: Cómo configurar Zone Alarm 3.x http://www.vsantivirus.com/za.htm * Antivirus Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. * Información adicional Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 5 - eMule vulnerable a un ataque de negación de servicio _____________________________________________________________ http://www.vsantivirus.com/vul-emule.htm eMule vulnerable a un ataque de negación de servicio Por Redacción VSAntivirus vsantivirus@videosoft.net.uy eMule es un conocido programa de intercambio de archivos entre usuarios (P2P) que utiliza el mismo protocolo del eDonkey y su red. No se trata de un simple clon, sino que agrega nuevas funciones. También existe una versión para Linux (Lmule). El programa es del tipo "código abierto" (OpenSource). El protocolo de eDonkey se compone de un cabezal (header) enviado al principio de la conexión al cliente conteniendo la información necesaria para la identificación entre usuarios (nombre de usuario, puerto, etc.). Después del envío de este cabezal, un usuario puede enviar un mensaje para "chatear" con el host remoto (la otra computadora), el cuál se adjuntan a los datos de identificación. Si el usuario envía esos datos sin especificar su nombre de usuario, el programa intentará cargar la información desde una posición de memoria vacía, lo que provoca que el programa falle al no poder manejar la situación. La falla se soluciona descargando la nueva versión (la 0.27c o superior), la cuál resuelve este problema: http://www.emule-project.net/content.php?s=downloads (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. No mantenemos ninguna relación comercial con ninguna empresa productora de antivirus. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 997 - Año 7 - Lunes 31 de marzo de 2003